C-DAYS 2022

Programa

ECONOMIA SOCIEDADE RISCOS E CONFLITOS POLÍTICAS PÚBLICAS ÉTICA E DIREITO INOVAÇÃO E TECNOLOGIAS FUTURAS
  • Dia 7
  • Dia 8
  • Dia 9
  • Sinopses
  • Abstracts CFP
Sala 1 Sala 2 Sala Multi-tema
12:00 Abertura de Secretariado / Check-in
14:30 Sessão de Abertura Oficial
Carlos Carreiras | Presidente da Câmara Municipal de Cascais
Lino Santos | Coordenador, Centro Nacional de Cibersegurança
15:00
RISCOS E CONFLITOS | PAINEL
Desinformação e a necessidade de um combate à disseminação de notícias falsas
Nelson Escravana | INOV
Luísa Meireles | LUSA
Gustavo Cardoso | ISCTE – Media Lab
15:00
POLÍTICAS PÚBLICAS | PAINEL
Regime Jurídico da Segurança do Ciberespaço descomplicado
Luis Morais | Galp
Inês Castro Ruivo | PLMJ
Rui Pereira | CNCS – DRSC
15:00
SESSÃO TÉCNICA
Eliminação Segura de Dados

João Marques | DRC
15:25
SESSÃO NÃO TÉCNICA
O Colaborador como 1ª Linha de Defesa de Cibersegurança da E-REDES

Joana Margarida Abreu | E-REDES
15:50
INOVAÇÃO E TECNOLOGIAS FUTURAS | KEYNOTE
Cibersegurança em Sistemas de Controlo Industrial
Paulo Pádua | SIEMENS
15:50
ÉTICA E DIREITO | KEYNOTE
Preservação de prova digital
Rogério Bravo | PJ
15:50
SESSÃO NÃO TÉCNICA
O papel da Psicologia na Cibersegurança

Miguel Oliveira| Ordem dos Psicólogos
16:15 Café & Networking
16:45
SOCIEDADE | PAINEL
C-Academy – Programa nacional de formação avançada
Isabel Baptista | CNCS
Pedro Inácio | UBI
Gonçalo Cadete | INOV – INESC Inovação
16:45
ECONOMIA | PAINEL
Uma abordagem à cibersegurança baseada no risco
Jorge Vicente | Lidl
Miguel Jacinto | EuroBIC
Jéssica Domingues | CNCS
16:45
SESSÃO NÃO TÉCNICA
Rede Nacional de Bibliotecas Públicas no combate à desinformação

Bruno Duarte Eiras e Sandra Dias | DGLAB
17:10
SESSÃO NÃO TÉCNICA
Observatório de Tecnologias da Internet Portuguesa

José Legatheaux Martins
17:35
INOVAÇÃO E TECNOLOGIAS FUTURAS| KEYNOTE
Smart Cities
Ana Marques | Portugal Digital
17:35
RISCOS E CONFLITOS | KEYNOTE
DevSecOps e Automação de Segurança
Tiago Barbosa | MUSIC Tribe
17:35
SESSÃO NÃO TÉCNICA
The Art of Mind Deception: A Practical Social Engineering exercise – phishing

Pedro Costa
18:00
SOCIEDADE | KEYNOTE
Cybersecurity human risk management – a real-world FTSE 100 example
[EN]
Flavius Plesu | OutThink
18:30
Reflexões do Dia
Sala 1 Sala 2 Sala Multi-tema
08:30 Abertura de Secretariado/Check-in
09:30
09:35
ÉTICA E DIREITO | KEYNOTE
Conformidade em Cibersegurança, num contexto cada vez mais regulado
Pedro Machado | AGEAS
10:00
SOCIEDADE | KEYNOTE
Mind the Gap: Estratégias para encontrar, desenvolver e reter talentos de cibersegurança
Paulo de Tarso Ayres | Randstad
10:00
RISCOS E CONFLITOS | KEYNOTE
Tendências da Cibersegurança
Luís Gonçalves | INFORMADB
10:00
Sessão Não Técnica
Estudo sobre o Ensino Superior de Cibersegurança em Portugal
Pedro Mendonça | CNCS
10:25
ÉTICA E DIREITO | PAINEL
Inteligência Artificial & Cibersegurança
Sara Carrasqueiro | AMA
Inês Godinho | CNECV
Rui Durão | ME-DGAE
10:25
SOCIEDADE | PAINEL
Cibersegurança no Feminino
Cristina Almeida | Women4Cyber
Sandra Ribeiro | CIG
Luisa Ribeiro Lopes | INCoDe.2030
10:25
SESSÃO TÉCNICA
“Crawlar” web apps modernas melhorando o resultado de scans

Cláudio Gamboa | Probely
11:15 Café & Networking
11:45
RISCOS E CONFLITOS | PAINEL
Geopolítica e insegurança cibernética
Felipe Pathé Duarte | Nova School of Law
Lourino Chemane | INTIC
Barreira de Sousa | MNE
11:45
INOVAÇÃO E TECNOLOGIAS FUTURAS | PAINEL
Tecnologias avançadas ao serviço da cibersegurança
Victor Lobo | IMS
Miguel Pupo Correia | IST
Luís Antunes | U.Porto
Catarina Bastos | DEIMOS
11:45
SESSÃO TÉCNICA
PTSOC – Serviços e Awareness – O que é cybersquatting e como combater DNS Abuse?

Ricardo Pires e Jose Ramos | .PT
12:35 Almoço
14:30
INOVAÇÃO E TECNOLOGIAS FUTURAS | KEYNOTE
Estratégia Zero-Trust
Paulo Esteves Veríssimo | RC3
14:30
ECONOMIA | KEYNOTE
Reforço do quadro geral de Cibersegurança – Plano de Recuperação e Resiliência
Luís Metelo | Recuperar Portugal
14:30
SESSÃO NÃO TÉCNICA
Água potável. Litros e litros ciberseguros

Frederico Lopes e Rui Braga | Águas do Norte
14:55
POLÍTICAS PÚBLICAS | PAINEL
Cibersegurança nas autarquias
João Alves | CNCS – DRSC
Carlos Carreiras | Município de Cascais
Sérgio Cunha | Comunidade Intermunicipal Tâmega e Sousa
14:55
INOVAÇÃO E TECNOLOGIAS FUTURAS | PAINEL
Cibersegurança no ciclo de desenvolvimento de aplicações e sistemas
Patrício Batista | Feedzai
Filipe Mealha | SPMS
Anselmo Silva | SIBS
14:55
SESSÃO TÉCNICA
CERT.PT – O Diário de um Incidente

João Campos e Eduardo Barros | CNCS – CERT.PT
15:45 Café & Networking
16:15
ECONOMIA | PAINEL
Selo Digital da Cibersegurança no Plano de Ação para a Transição Digital
Raul Martins | Portugal Digital
Francisco Pimenta | APCER
Carina Gonçalves | BV Portugal
16:15
ÉTICA E DIREITO | PAINEL
Últimas tendências na investigação e interrupção do cibercrime
Carlos Cabreiro | PJ
Pedro Verdelho | PGR
João Lazaro | APAV
16:15
SESSÃO TÉCNICA
Estratégia Integrada de Segurança Ciber-Física das Subestações da E-REDES

Helder Barbosa | E-REDES
17:05
RISCOS E CONFLITOS | PAINEL
Como comunicar que sofri um incidente de cibersegurança?
Joaquim Carreira | LUSA
Carina Correia | Vodafone
Alexandra Abreu Loureiro | Brunswick Group
17:05
POLITICAS PÚBLICAS | KEYNOTE
Esquema de Certificação para o Quadro Nacional de Referência para a Cibersegurança
Vasco Vaz | CNCS
17:05
SESSÃO TÉCNICA
Desafios técnicos na automatização de testes de segurança.

Tiago Mendo | Probely
17:30
SOCIEDADE | KEYNOTE
Dependências sem substância e o uso problemático da Internet – Jogo “Eu e os Outros”
Raul Melo | SICAD
17:55
POLÍTICAS PÚBLICAS | KEYNOTE
Estratégia de certificação da cibersegurança da União Europeia
Marco Lourenço | ENISA
18:25
Reflexões do Dia
Sala 1 Sala 2 Sala Multi-tema
09:00 Abertura de Secretariado/Check-in
09:30
Abertura
Mário Filipe Campolargo | Secretário de Estado da Digitalização e da Modernização Administrativa
09:40
C-ACADEMY | Memorando de Entendimento
09:50
ECONOMIA | KEYNOTE
Aliança para a Cibersegurança com assinatura de memorando
Manuel Eanes | NOS
10:10
INOVAÇÃO E TECNOLOGIAS FUTURAS | PAINEL
Carteira e identidade Digital
André Vasconcelos | AMA
Manuel Dias | Microsoft
Carlos Ribeiro | IST
10:10
POLÍTICAS PÚBLICAS | PAINEL
A cooperação como indicador de maturidade
Nuno Medeiros | ISAC Energia/e-Redes
Sérgio Trindade | ISAC Águas/EPAL
Nuno Galveia | ISAC Distribuição/Jerónimo Martins
Carlos Pires | RNCSIRT/Banco Santander Portugal
10:10 SESSÃO NÃO TÉCNICA
Ecossistema de Fornecedores: desafios na Segurança de Informação

Ofélia Malheiros | Securnet
11:00 Café & Networking
11:30
RISCOS E CONFLITOS | PAINEL
As primeiras 48h na deteção de um ataque – casos de uso
Rui Ramalho | Germano de Sousa
Luís Valente | SONAE
José Galvão | Grupo Impresa
Nuno Marques | CNCS – CERT.PT
11:30
SOCIEDADE | PAINEL
Uma realidade pós-covid e o regime de trabalho remoto
Ricardo Martins | Meta Red
Sofia Marta | Accenture
David Xavier | Secretaria Geral
11:30
SESSÃO TÉCNICA
Vazamentos de dados – Casos reais

Flávio Shiga | b10sec
11:55
SESSÃO NÃO TÉCNICA
O uso do ciberespaço pelos terroristas: a ameaça do ciberterrorismo

Joana Araújo Lopes
12:20
POLÍTICAS PÚBLICAS | KEYNOTE
Overview of EU Cybersecurity Policy
[EN]
Miguel González-Sancho | EC – DG CONNECT
12:20
ÉTICA E DIREITO | KEYNOTE
Práticas de due diligence de terceiros: desde a integração até a desativação
Joana Mota Agostinho | Cuatrecasas
12:30
SESSÃO TÉCNICA
Riscos e Ameaças no 5G – Prevenir para não remediar

Paulo Rosado | AP2SI
12:45
INOVAÇÃO E TECNOLOGIAS FUTURAS | KEYNOTE
Cryptography: providing the keys to build secure systems
[EN]
Keith Martin | Royal Holloway, University of London
13:20
Sessão de Encerramento
António Gameiro Marques | DG GNS/CNCS

Dia 7

Desinformação e a necessidade de um combate à disseminação de notícias falsas O fluxo da informação que circula no ciberespaço e na Internet é tão elevado que dificulta a sua correta apreensão e verificação. Múltiplas campanhas com o propósito de partilhar informação falsa têm vindo a ser denunciadas. Mas quais serão os efeitos que tem a desinformação nas pessoas e nas organizações? Como se consegue separar a informação da desinformação? Em quê acreditar?
Os peritos reunidos neste painel de discussão pretende esclarecer a audiência para os riscos e efeitos da desinformação, assim o que está a ser ou deve ser feito para combater a disseminação de conteúdos falsos e enganadores.
Regime Jurídico da Segurança do Ciberespaço descomplicado O Regime Jurídico da Segurança do Ciberespaço e a sua regulamentação determinam um conjunto de obrigações e deveres para as organizações em matéria de cibersegurança. A sua implementação e as obrigações variam em função do tipo de entidade. Mas que impacto para as organizações poderá ter a sua implementação, e como se implementam as suas disposições?
A sessão sobre este regime permitirá uma sensibilização maior para os principais aspetos a considerar na sua implementação, e também sobre as possíveis consequências do seu não cumprimento.
Cibersegurança em Sistemas de Controlo Industrial Não há como não falar em cibersegurança no mundo em que vivemos que é cada vez mais conectado. Os riscos são cada vez maiores bem como os investimentos que as empresas precisam fazer para se proteger. Fatores externos que estão fora do controlo dos gestores causam hoje grande pressão na área do OT (Operational Technology). Por onde começar? Que medidas tomar no imediato? Nesta sessão daremos respostas a esta e outras questões para que o seu ambiente industrial esteja o mais protegido possível.
Preservação de prova digital Pretende-se deixar o conceito base relativo a prova digital no âmbito do incidente de segurança, indicar o modelo de enquadramento teórico atual, e deixar requisitos de atuação futura enquadrados tendo em conta a a aparente situação de transição digital.
C-academy – Programa nacional de formação avançada A falta de especialistas é um dos atuais desafios na cibersegurança. Quais as soluções atuais e futuras para atrair profissionais para este domínio? Que competências deverão ter as pessoas que trabalhar em cibersegurança? Este painel irá abordar e discutir o problema e possíveis soluções para formar e capacitar profissionais nas várias áreas da cibersegurança.
Uma abordagem à cibersegurança baseada no risco A escolha das medidas e controlos de segurança a definir e implementar ao nível técnico e organizativo é determinante para garantir um nível de segurança adequado ao risco em causa. Mas num contexto em que a utilização de meios tecnológicos pelas organizações é cada vez mais determinante para os seus processos de negócio, que referenciais e mecanismos existem para a realização de análise, avaliação e tratamento periódico dos riscos pelas organizações?
A missão deste painel é a de partilhar com a audiência experiências e recomendações para o estabelecimento de metodologias de gestão de risco linhadas com os seus objetivos.
DevSecOps e Automação de Segurança Nesta sessão vão ser apresentados alguns conceitos e práticas de DevSecOps, e por que razão é tão importante introduzir boas práticas de segurança desde o momento em que se escreve a primeira linha de código. O DevSecOpsc, uma conjugação de desenvolvimento, segurança e operação, é uma abordagem à cultura, automação e design de plataformas e aplicações que integra a segurança como uma responsabilidade partilhada e integrada em todo o ciclo de vida das tecnologias de informação.
Cybersecurity human risk management – a real-world FTSE 100 example In the cyber security realm, the use of data and knowledge of human behaviour is not as utilised as it is in other domains. With the ability to measure intentions, sentiment, psychographic profiles and real-time behaviours, a different approach is much needed, to enable the effective management of human risk in cyber security.

To understand human risk is to measure and analyse the data that is currently available to answer important questions such as:
1. Who are your high-risk groups / employees?
2. Why are these people more likely to cause a security breach?
3. How can you support them better?

This session explores how a FTSE100 organisation took such a different appraoch to measure and focus on what matters when looking at human risk and using research from behavioural psychology to increase their phishing resilience.

Dia 8

Mind the Gap: Estratégias para encontrar, desenvolver e reter talentos de cibersegurança Vivemos em um mundo onde a escassez do talento é uma realidade. De forma transversal, em diferentes mercados e para os mais variados perfis, as empresas hoje têm grande dificuldade em recrutar. Para a área das tecnologias, o tema é ainda mais crítico e a área de cibersegurança é uma das mais desafiantes desse complexo universo. Atrair, desenvolver e reter esse talento tão escasso não é fácil. Mas há um conjunto de estratégias que podem ajudar. O “candidate experience” é uma delas, mas há muito mais que pode ser feito.
Preservação de prova digital Pretende-se deixar o conceito base relativo a prova digital no âmbito do incidente de segurança, indicar o modelo de enquadramento teórico atual, e deixar requisitos de atuação futura enquadrados tendo em conta a a aparente situação de transição digital.
Inteligência Artificial & Cibersegurança Um grande número de serviços e produtos já recorre à Inteligência Artificial, a maior parte das vezes sem que o utilizador se aperceba disso. Mas que riscos de cibersegurança se podem colocar no desenvolvimento de produtos com Inteligência Artificial ou mesmo da própria Inteligência Artificial? Quem controla a sua criação? Os algoritmos só procurarão agir de forma benévola ou podem decidir ser maliciosos?
Há muitas perguntas que requerem respostas claras que a sessão sobre a IA e cibersegurança procurará responder.
Cibersegurança no feminino Todos os indicadores mostram que as TIC e a cibersegurança ainda são áreas com predominância masculina. Admitindo razões históricas e culturais para a atual situação, o contributo deste painel será importante para se encontrar as respostas que se impõem à pergunta: como se pode alterar este estado, estabelecendo a igualdade de género como fator de desenvolvimento e inovação organizacionais, impulsionando, promovendo e apoiando a participação de raparigas e mulheres na cibersegurança?
Geopolítica e insegurança cibernética Assente numa noção de inexistência de fronteiras no ciberespaço, mas onde países e regiões procuram limitar e controlar acessos na Internet, os riscos parecem colocar-se à escala global onde nenhum Estado está imune aos riscos e ciberataques. Estarão todas as regiões preparadas da mesma forma para prevenir incidentes, e quais os principais desafios regionais que se colocam?
O conhecimento e a experiência reunida neste painel permitirá alargar o conhecimento sobre o que estará a ser feito ao nível global para um ciberespaço mais seguro, livre e estável perante velhos e novos desafios geopolíticos
Tecnologias avançadas ao serviço da cibersegurança Um largado conjunto de domínios pode, e em alguns casos já está, a ser beneficiado pelo recurso às tecnologias emergentes. Mas será que o mesmo pode ocorrer no domínio da cibersegurança? Serão as novas tecnologias uma mais valia para a proteção e antecipação de incidentes? Poderão as novas tecnologias permitir uma proteção apenas contra velhas ameaças ou também antecipar novas?
A discussão e também os casos práticos abordados pelos peritos que constituem este painel poderão ajudar a responder a algumas das questões que colocam as novas tecnologias ao serviço da cibersegurança.
Estratégia Zero-Trust O cenário de ameaças dos actuais sistemas de redes e computadores tornou-se demasiado incerto e dinâmico para continuar a ser abordado de maneira estática pelos paradigmas clássicos de ciber segurança. Na procura de soluções, um dos clichês da moda é o “zero-trust” (confiança-zero): «começa por nunca confiar em ninguém, utilizadores ou máquinas, tanto internas quanto externas, e isso resolverá a grande maioria dos problemas de segurança encontrados nas organizações».
Na minha palestra, mostrarei que não há nada essencialmente novo no conjunto de técnicas defendidas pelos proponentes dessa estratégia. No entanto defendo que, ao vesti-las de maneira radical, essa abordagem será, no final das contas, contraproducente. Em contraste, motivarei a necessidade de defesas eficazes baseadas mais em princípios básicos do que em modismos.
Cibersegurança nas autarquias As autarquias estando abrangidas pelo Regime Jurídico de Segurança do Ciberespaço estarão cientes das suas obrigações e mecanismos à sua disposição para o implementar? Numa era que as cidades se tornam inteligentes assentando a sua gestão nas TIC e na agregação de grandes volumes de dados, estarão as autarquias conscientes dos riscos e ameaças à segurança das redes e sistemas de informação?
Este painel pretende abordar alguns dos desafios com que as autarquias são confrontadas e que práticas de cibersegurança podem ser adotadas.
Cibersegurança no ciclo de desenvolvimento de aplicações e sistemas É muitas vezes aludido a preferência das empresas pela colocação rápida de um produto no mercado em detrimento da sua segurança. Será mesmo assim? Será que atenção dada pelas empresas à inovação e novidade de um produto ou serviço é acompanhado pela preocupação com a sua segurança e dos seus utilizadores?
O debate entre os especialistas reunidos neste painel permitirá uma maior clareza sobre que ferramentas, procedimentos, boas práticas e metodologias para a gestão do ciclo de vida de desenvolvimento de serviços e aplicações incorporando as melhores medidas para a sua segurança e dos seus utilizadores.
Selo Digital da Cibersegurança no Plano de Ação para a Transição Digital Para que serve um Selo de Maturidade Digital em Cibersegurança e o que acrescenta à minha organização? E o que preciso de fazer para o obter?
Esta sessão pretende explicar o conceito de Selo de Maturidade Digital em Cibersegurança os apoios disponíveis e requisitos para a sua obtenção, trazendo à discussão experiências e casos concretos.
Últimas tendências na investigação e interrupção do cibercrime Num contexto de tendência para o aumento da cibercriminalidade, onde a superfície de ataque e a oportunidade se tornam atrativas para agentes maliciosos, importa discutir-se os desafios que se colocam às autoridades e à investigação criminal. O papel da literacia digital e as formas de proteção dos cidadãos serão outras áreas relevantes para o combate ao cibercrime em discussão neste painel de peritos altamente conhecedores das matérias em debate.
Como comunicar que sofri um incidente de cibersegurança? A multiplicidade de impactos que um incidente pode ter numa organização poderá requerer uma resposta transversal. Quais são as implicações jurídicas? Quais as consequências reputacionais para a organização? Como lidar com a comunicação social e que articulação deve ter com as autoridades? As melhores respostas a estas e outras perguntas sobre a comunicação de incidentes serão debatidas por especialistas nesta sessão.
Esquema de Certificação para o Quadro Nacional de Referência para a Cibersegurança O Esquema de Certificação para o Quadro Nacional de Referência para a Cibersegurança (EC QNRCS) permitirá a certificação das práticas de cibersegurança das organizações nacionais tendo como critério o Quadro Nacional de Referência para a Cibersegurança. A quem se destina o EC QNRCS? Como se caracteriza e como está organizado? Que vantagens representa? O que podem fazer os seus interessados? A presente sessão visa sensibilizar potenciais interessados, desde candidatos à certificação a organismos de certificação, dar a conhecer as suas principais características e requisitos e prestar esclarecimentos que facilitem futuras candidaturas.
Dependências sem substância e o uso problemático da Internet – Jogo “Eu e os Outros” O Eu e os Outros é um programa de prevenção universal da responsabilidade do SICAD, em implementação desde 2007. Direcionado à faixa etária entre os 12 e os 18 anos, este programa tem por base a exploração de narrativas interativas, aplicadas em múltiplos contextos distribuidos por todo o país.
A presente comunicação descreverá o processo que levou à construção de uma inovadora narrativa digital interativa, construída conjuntamente com o Centro Internet Segura, para a abordagem de temas ligados às dependências sem substância e ao uso problemático da internet e a experiência decorrente dos processos de validação em curso.
Estratégia de certificação da cibersegurança da União Europeia O enquadramento europeu de certificação de cibersegurança para produtos TIC permite a criação de esquemas de certificação a nível da UE individualizados e baseados no risco e contendo regras, requisitos técnicos, normas e procedimentos para a avaliação das propriedades de segurança de um produto ou serviço específico baseado em TIC.
Tem por objetivo aumentar os níveis de cibersegurança e de confiança nos produtos, serviços e processos TIC na UE, reduzir a fragmentação, evitando a proliferação de esquemas nacionais de certificação e promovendo a harmonização, e criar condições equitativas como pilares de um mercado europeu de certificação.
Que papel tem a certificação na estratégia de cibersegurança da UE? Que categorias de produtos ou serviços TIC estão abrangidos por esquemas de certificação UE? Que esquemas de certificação UE estão em desenvolvimento ou previstos? Como poderão as organizações nacionais participar no processo de construção do enquadramento europeu de certificação e que papel poderão desempenhar? Que vantagens têm as organizações nacionais em obter ou emitir certificados UE?
Esta sessão pretende informar sobre o papel destinado à certificação no contexto da estratégia de cibersegurança da UE, apresentar um quadro prospetivo sobre a evolução das atividades de certificação na UE e situar possíveis atuações das entidades nacionais no contexto da certificação UE.

Dia 9

Overview of EU Cybersecurity Policy Recent developments and plans for upcoming actions in EU cybersecurity policy, including the review of the NIS Directive, certification, cyber resilience act, funding support.
Carteira e Identidade Digital Há muito que o conceito de identidade faz parte da vida em sociedade. Mas o que muda com os ambientes digitais? O que é a identidade digital e qual a sua importância? Quais os aspetos de segurança que lhes deve estar associado e qual o papel reservado às organizações?
A experiência deste painel de oradores permitirá clarificar alguns dos aspetos associados à carteira e identidade digital e sobre o seu enquadramento nacional e internacional.
A cooperação como indicador de maturidade Quais serão as vantagens da criação de Centros de Análise e Partilha de Informação (ISACs) e que contributo poderão ter na proteção das organização contra incidentes de cibersegurança? Como funcionam e para que servem? Quem pode participar e quem os gere? Estas são algumas das dúvidas que se colocam relativamente a estes estruturas de partilha de informação e conhecimento que terão resposta por parte de especialistas com vasta experiência nesta matéria.
As primeiras 48horas na deteção de um ataque – casos de uso Sabendo-se que nada é ou está 100% seguro, as consequências de um incidente podem ser determinadas pelo grau de preparação e antecipação de ameaças por parte das organizações. As boas práticas determinam que a perceção dos riscos deve ser transversal a toda a organização e que a preparação dos planos de cibersegurança deve ser participada e inclusiva. Mas como é que isso se aplica? Que práticas e processos devem ser previstas nos planos de resposta a incidentes e nas estratégias organizacionais de cibersegurança?
Fazendo uso da sua experiência, este painel de discussão pretende abordar os riscos de nada se fazer e o que deve ser planeado para se estar melhor preparado em cibersegurança.
Uma realidade pós-covid e o regime de trabalho remoto A passagem do local de trabalho das organizações para a residência dos colaboradores na sequência das medidas de prevenção da COVID-19 colocou vários desafios tecnológicos às organizações, incluindo a segurança dos seus sistemas e da sua informação. Se nem todas as organizações estavam preparadas para essa mudança, estarão hoje? Estão as organizações e os colaboradores sensibilizados para os riscos do trabalho remoto? Que práticas e mecanismos devem ser implementados para minimizar os riscos?
Este painel debaterá as várias perspetivas da realidade pós-covid e o recurso a um regime de teletrabalho.
Práticas de due diligence de terceiros: desde a integração até a desativação Todas as empresas recorrem a terceiros, seja para fornecer bens e serviços, colocar produtos no mercado ou expandir os canais de venda para os clientes. Estes terceiros podem, sem dúvida, trazer benefícios para a organização, mas ao mesmo tempo podem expor a empresa a uma série de riscos e desafios em matéria de privacidade e segurança de informação. A due diligence de terceiros refere-se à avaliação desses terceiros no estágio de integração e monitorização contínua para identificar os riscos inerentes à contratação de determinadas entidades terceiras, a fim de que sejam compreendidos e geridos de acordo com os standards e cultura de cada organização.
Cryptography: providing the keys to build secure systems Cryptography underpins our digital security, providing tools for implementing the fundamental security services from which security in cyberspace is constructed. We will review what cryptography does and why it is so important to contemporary cybersecurity. We will reflect on why cryptography can be politically sensitive. We will also take a look at where cryptography goes wrong in real systems and argue that cryptography can only do its job when considered alongside the security issues of wider systems. Finally we will consider what exciting new cryptographic developments can be expected.

Dia 7

Eliminação Segura de Dados Esta sessão pretende contextualizar a Eliminação Segura de Dados como parte essencial de um Sistema de Gestão de Segurança de Informação e na gestão do modelo do ciclo de vida dos dados.
Inicialmente é apresentado o modelo de gestão do ciclo de vida dos dados de uma organização e a importância de cada etapa deste ciclo ser gerida por regras estritas.
O foco deste estudo é a última etapa deste ciclo: Eliminação Segura de Dados.
Esta fase do ciclo de vida dos dados é exposta a falhas de segurança de confidencialidade porque pode coincidir com o fim do ciclo de vida do suporte em que os dados estão armazenados confundindo-se assim as regras de gestão de vida dos dados com a gestão de vida dos ativos onde estão armazenados.
A não separação destes dois conceitos pode comprometer a confidencialidade dos dados e originando situações amplamente publicitadas em que equipamentos comercializados em 2nd market revelam dados confidenciais. Também no interior das organizações estes conceitos devem ser geridos de forma especializada, por exemplo a transferência de um ativo de end point deve ser precedida da eliminação segura dos dados devendo ser reduzido o espaço temporal entre a tomada de decisão da sua transferência e a execução deste procedimento.
No capítulo 2 são apresentados os vários processos de eliminação segura de dados, sendo explicados o âmbito e aplicabilidade de cada processo.
No capítulo 3 apresentamos as condições de execução dos processos anteriormente apresentados e é pormenorizado um fluxo de trabalho e apresentados vários exemplos de reporting.
O Colaborador como 1ª Linha de Defesa de Cibersegurança da E-REDES A condição da E-REDES como Operador de Infraestruturas Críticas Nacionais, Operador de Serviços Essenciais e detentora de uma Infraestrutura de Informação Mission Critical exige um nível de excelência na concretização de uma estratégia estruturada, abrangente e progressiva de Cibersegurança.
Um dos objetivos estratégicos de Cibersegurança da E-REDES é incorporar a segurança da informação como elemento base da cultura organizacional, estabelecendo como prioridade a sensibilização e formação em Cibersegurança e capacitando os colaboradores para atuarem como 1ª linha de defesa.
Nesse sentido, a E-REDES desenvolve e mantém um extensivo Programa de Sensibilização e Formação e um Plano de Comunicação em Cibersegurança, os quais incluem diversas iniciativas, divididas por níveis distintos de audiências identificadas na organização.
Na E-REDES acreditamos que os nossos colaboradores podem ser o elo mais forte na cadeia de cibersegurança e que o seu papel é tão ou mais importante que qualquer tecnologia que possamos implementar.
O papel da Psicologia na Cibersegurança Como resultado do enorme progresso nas tecnologias digitais, o surgimento do cibercrime é hoje uma realidade incontornável e a necessidade de se encontrarem medidas que possam mitigar os seus efeitos é indispensável para que se possa fazer um processo de transição digital. Como afirma a Comissão Europeia no seu documento Cybersecurity – Our Digital Anchor, a cibersegurança deixou de ser uma opção tecnológica para se tornar uma necessidade social e é aqui que reside um elemento de extrema importância, o comportamento.
Tecnologia e o comportamento sempre foram dimensões interligadas. A aprendizagem, a mudança, a adaptação e a resiliência são conceitos-chave associados a todas as revoluções tecnológicas, desde o domínio do fogo até à 4ª revolução industrial. Como ciência do comportamento, a Psicologia posiciona-se como uma ferramenta crítica para ajudar no desenvolvimento de novas competências, aprendizagens, soluções, contribuindo para o aumento da resiliência no contexto da cibersegurança.
Os fatores humanos relacionados com planeamento deficiente, falta de atenção e ignorância estão na base do crescimento de fatores não-intencionais ou acidentais lesivos à cibersegurança com consequências que podem ser tão disruptivas e prejudiciais para a organização, como as de um “hacker”. A maior barreira à criação de estratégias de segurança efetivas são as dimensões humanas (Whitten & Tygar, 1998). Muitos dos protocolos de segurança existentes não funcionam devido a serem percecionados como confusos ou demasiado difíceis para serem efetivamente aplicados pelo “colaborador médio”.
A necessidade de repensar os vetores de ataques cibernéticos, passando a incluir a exploração de falhas técnicas e o comportamento humano, acrescenta linhas de defesa nas organizações, criando mais valias para além do tradicional modus operandi que ainda se limitam a barreiras técnicas como firewalls e passwords.
Segundo o Forum Económico Mundial, 97% dos ataques de malware tentam enganar os utilizadores, sendo somente 3% dedicados a explorar as falhas técnicas e que mais de 84% dos hackers confiam em estratégias de engenharia social como principal forma de aceder aos sistemas.
Examinando os fatores humanos que influenciam a cibersegurança inclui-se a ligação entre traços psicológicos, como a impulsividade, processo de tomada de decisão, crenças, atitudes e comportamentos todos eles da área de influência da Psicologia.
Desta forma, a mais da valia da Psicologia surge como um complemento às medidas técnicas, uma camada extra e diferenciada de proteção que pode contribuir para o desenho de medidas de cibersegurança que contemplem a dimensão comportamental, adicionando assim mais estratos de proteção, contribuindo ativamente para a adoção de comportamentos ciberseguros quando estamos online.
A dimensão comportamental pode ser encarada como um software. Este novo tipo de software (um “software humano”), deve ser visto como capacitador para nos tornar melhores firewalls humanas. Examinar os fatores humanos que influenciam a cibersegurança como forma de tornar a organização mais segura é algo para o qual a Psicologia pode contribuir para que, como refere Cynthia Breazeal (MIT) “in a world of technology Humanity is a killer app”.
Rede Nacional de Bibliotecas Públicas no combate à desinformação O acesso a informação fidedigna é fundamental nos processos de informação e decisão dos cidadãos.
Numa sociedade digital onde a velocidade da informação é crescente (redes sociais, fake news, media, …) como acedem e realizam os cidadãos a avaliação desta informação que consomem? Que instituições podem fazer a mediação entre o cidadão e a informação, mas adicionando “valor” de capacitação em simultâneo? Como podem as bibliotecas públicas contribuir para o desenvolvimento das literacias, particularmente da literacia digital.
A Rede Nacional de Bibliotecas Públicas, coordenada pela Direção-Geral do Livro, dos Arquivos e das Bibliotecas é composta por 445 bibliotecas a nível nacional e cumpre esta função desde 1987, acompanhando a evolução da Sociedade da Informação e do Conhecimento, garantindo um acesso equitativo e democrático a todos os cidadãos.
Anualmente cerca de 8 milhões de pessoas utilizam as bibliotecas públicas municipais e os seus serviços de mediação para o acesso à Internet, pesquisa de informação, submissão de documentos digitais oficiais, comunicação via e-mail numa perspectiva de aprendizagem ao longo da vida, desenvolvimento das literacias e como garantia de concretização de processos essenciais para a gestão do seu dia-a-dia enquanto cidadãos.
Em Portugal, o número de utilizadores destas bibliotecas que evidencia a necessidade desta mediação/capacitação, demonstra a imprescindibilidade deste Serviço Público, um dos últimos totalmente gratuito.
“Rede Nacional de Bibliotecas Públicas no combate à desinformação” é uma aposta da Direção-Geral do Livro, dos Arquivos e das Bibliotecas no afirmar do contributo preponderante que estas instituições, pela sua capilaridade e proximidade, podem conferir ao consumo seguro de informação em Portugal.
Observatório de Tecnologias da Internet Portuguesa A abertura, estabilidade e segurança da Internet em Portugal está dependente do grau de adoção de um conjunto de tecnologias Internet essenciais, nomeadamente:
• Endereçamento moderno com base na norma IPv6.
• Adoção de DNSSEC para segurança acrescida do sistema de nomes (DNS).
• Sites Web com suporte de segurança HTTPS, em particular com suporte da sua versão mais recente, o TLS 1.3.
• Adoção de medidas de segurança nos servidores de correio eletrónico.
• Adoção de medidas de segurança no encaminhamento BGP.
Este observatório permite saber o grau de adoção destas tecnologias pela Internet portuguesa e está disponível aqui: https//isoc.pt/observatory
onde há explicações detalhadas sobre os resultados obtidos e a forma como são obtidos. As campanhas de medidas são executadas de novo todos os meses, sendo os resultados anteriores arquivamos. Para efeitos de benchmarking e comparação são analisados os 1000 domínios mais populares do mundo. As medidas sobre sites em Portugal estão organizadas em listas que em conjunto cobrem também mais de 1000 domínios. As medidas sobre IPv6, DNSSEC e encaminhamento BGP pelos ISPs são retiradas das medidas feitas pelos APNIC Labs.
Os indicadores disponíveis são calculados através de testes periódicos aos serviços WEB e EMAIL de vários domínios, organizados em listas, e recorrendo também ao observatório dos laboratórios do APNIC (Asia Pacific Network Information Center). Para explicações mais detalhadas, ver a seção ficha técnica sobre como funciona o observatório. Dados sobre a adoção das mesmas tecnologias na Internet mundial estão disponíveis no observatório da Internet Society.
A montagem deste observatório foi parcialmente suportada por um financiamento concedido pela Internet Society Foundation.
The Art of Mind Deception: A Practical Social Engineering exercise – phishing From an information security standpoint, as human being, we are affected by social engineering tactics every day as an entry point to carry out technical hacking techniques. Easily deceived with psychological manipulation to perform actions or divulging information without our knowing. This situation leads us to reflect the importance of the growing evolution of this type of attacks that exploits this weakness. Despite the fact that organizations invest millions in next-generation security solutions, such as firewalls, endpoint protection, sandboxing, email protection, etc., there is a blind spot that has to be covered in the radar to spot the signs, the human being as a weakest link. There is no ‘silver bullet’ that can prevent cyberattacks at all, but it’s definitely necessary to boost the user awareness by making them more vigilant with the necessary knowledge to understand the daily risks in this complex cyberspace. In this paper, we describe our findings about the reasons why we are so vulnerable, the tools used by the attackers, a real phishing exercise and understand how can we mitigate this growing threat.

Dia 8

“Crawlar” web apps modernas melhorando o resultado de scans Para fazer um “pentest” a uma web app, primeiro é preciso fazer todo o reconhecimento de como a app funciona, quais as secções da página, para no fim, tendo todos os endpoints e requests sabermos quais os pontos de injecção disponíveis para que possam ser testados para vermos se estão vulneráveis.
E quando queremos que toda esta informação seja encontrada automaticamente?
Quando as aplicações web eram páginas estáticas no browser, todos os links tinham de estar no HTML, todos os formulários tinham de estar bem construídos para que pudessem ser submetidos pelos utilizadores, e cada navegação que se fazia, havia um reload no browser para enviar o pedido HTTP.
Com a massificação do JavaScript, as aplicações web passaram a ser mais complexas, as páginas passaram a ser mais dinâmicas, novos menus que só aparecem quando o utilizador tem algum tipo de interação, janelas modais com novos formulários são apresentados ao utilizador como sendo a ação necessária para continuar e muitas outras coisas.
E com o aparecimento de frameworks de JavaScript como React.js, Angular, Vue.js, etc, as “Single Page Application” vulgo SPAs em que se consegue utilizar uma aplicação web inteira sem haver um único reload na página.
Nesta sessão vou mostrar como lidar com este tipo de aplicações, como as “crawlar” com sucesso e extrair o máximo de informação possível para que todos os “requests” possam ser testados.
PTSOC – Serviços e Awareness – O que é cybersquatting e como combater DNS Abuse? Nesta sessão técnica, propõe-se a realização de uma breve apresentação sobre o Centro de Operações de Segurança do .PT (PTSOC), o ccTLD do domínio de topo português, as razões que influenciaram a sua implementação, as principais concretizações e os serviços que oferece à comunidade.
Enquadrado no catálogo de serviços, serão aprofundados os conceitos de “DNS Abuse”, mecanismos de deteção, reporte e comunicação com todas as partes interessadas. Serão ainda partilhados alguns dados estatísticos de DNS Abuse na zona .pt e respetiva evolução.
Serão ainda abordadas as diferentes técnicas e flavours de cybersquatting e métodos para identificação inteligente e preventiva. Demonstrando-se ainda alguns casos práticos de DNS Abuse identificados.
Promovendo-se uma abordagem preventiva, serão enfatizadas algumas medidas e boas práticas que permitem reforçar a proteção de nomes de domínio de internet e, consequentemente, tornar mais segura e confiável a presença online.
Água Potável. Litros e litros ciberseguros Com a presente sessão partilhar-se-á a relevância da digitalização na entrega de água potável, bem como das tecnologias de segurança de informação e ferramentas avançadas de inteligência artificial, para assegurar o fornecimento resiliente e de qualidade de água potável.
A Água é uma das principais fundações da vida no planeta terra e igualmente da nossa sociedade. Desde tempos antigos a civilização humana sempre se desenvolveu em torno da água. Os humanos através do seu engenho e com o objetivo de melhorar as suas condições de vida, criaram ao longo dos tempos um conjunto de mecanismos para a captação, transporte, armazenamento, tratamento e distribuíção de água.
Atualmente, cerca de 71 %[1] da população mundial tem acesso a um sistema de fornecimento de água, o qual verifica a segurança da água para consumo humano. Em Portugal o fornecimento de água potável é considerado um serviço essencial à sociedade, disponível 24 horas por dia, 365 dias por ano. Quando rodamos uma torneira, esconde-se por detrás dos litros disponibilizados um processo altamente automatizado e digitalizado. A utilização de miríades de sensores e atuadores é fundamental para assegurar a eficiência, qualidade e resiliência na disponibilidade da água que consumimos. Neste processo de fornecimento e distribuição de água inclui-se a efetiva gestão da Segurança da Água, em resposta à diretiva europeia de água potável[2], a qual obriga a proteger a saúde humana de efeitos adversos de qualquer contaminação.
A dependência humana da água e o facto de alterações às propriedades da água terem impacto na saúde humana, obriga a gerir os riscos da sua indisponibilidade, bem como de ameaças ao comprometimento na sua integridade. Ao longo da história[3] são evidentes os conflitos relativos à água, bem como a sua utilização como arma militar para perpetrar ataques a estados e populações. Nas últimas décadas o incremento da digitalização, com a utilização de tecnologias de informação (TI) e tecnologias operacionais (TO) no processo de tratamento e distribuição de água, aumentou os riscos dos ataques cibernéticos.
De forma a gerir os riscos cibernéticos no produto água, a Empresa está a implementar um Programa de incremento de maturidade de Segurança de Informação, co-financiado pela União Europeia. O Programa pretende identificar, proteger e incrementar a resiliência do ecossistema de TI/TO da Empresa. O Programa inclui plataformas de gestão de incidentes e inteligência artificial, as quais realizam a monitorização de todo o ecossistema digital, identificando e adaptando-se continuamente às ameaças cibernéticas mais evoluídas.
Na sessão, além da apresentação do processo produtivo digitalizado de fornecimento da água, partilhar-se-á o contributo da tecnologia de segurança implementada – SIEM, gestão de ameaças e inteligência artificial – para incrementar a cibersegurança da água. São igualmente apresentados os resultados da gestão de eventos e ameaças no incremento do nível de segurança de informação.
CERT.PT – O Diário de um Incidente Nesta sessão pretende-se dar a conhecer ao público como é efetuado o tratamento de incidentes no CERT.PT, a equipa nacional de resposta a incidentes informáticos. O objetivo da sessão é demonstrar o tipo de incidentes tratados pelo CERT.PT, apresentando alguns casos práticos.
Estratégia Integrada de Segurança Ciber-Física das Subestações da E-REDES A E-REDES, está atualmente a trabalhar na segurança ciber-física das 26 subestações identificadas como Infraestruturas Críticas Nacionais – ICN, ao abrigo do Programa de Segurança Integrada Ciber-Física de Subestações – SICFSE.

Os novos desafios que o setor enfrenta, requerem uma abordagem diferente da adotada no passado, que passa por uma abordagem de “defesa em profundidade” baseada em uma visão holística, tomando em consideração várias ameaças e possíveis soluções de segurança lógica e física.

De momento, a nossa Infraestrutura de Informação Mission Critical – IIMC, da qual as subestações fazem parte, está bem isolada da possibilidade de ameaças cibernéticas, mas estamos cientes de que, à medida que os atores de ameaças se tornam mais criativos, surjam novas ameaças no horizonte e que nossa abordagem técnica tem de ser complementada por uma forte estratégia de conscientização dos colaboradores que interagem com a IIMC, capacitando-os como a nossa primeira linha de defesa.

Durante esta sessão, irei partilhar, 1) Como definimos defesa em profundidade no contexto da segurança ciber-física para a subestação digital, 2) Como desenvolvendo estratégias eficazes de mitigação de risco, para apoiar a segurança ciber-física de subestações, 3) Como garantimos a integração efetiva de firewalls de próxima geração para mitigação de ameaças na rede interna da subestação, 4) Como garantimos níveis apropriados de deteção de intrusão cibernética que suportam a nossa atividade de SOC, 5) Como implementamos acessos remotos centralizados e seguros para dar suporte às atividades de manutenção da subestação, e 6) Como integramos as nossas subestações mais críticas no Sistema de Gestão de Segurança de Informação, certificado na norma ISO 27001

Desafios técnicos na automatização de testes de segurança Nesta sessão pretendo alertar para alguns dos desafios que as equipas de desenvolvimento/segurança experienciam quando tentam automatizar testes de segurança. O objectivo é consciencializar a audiência para estes problemas de forma a possam resolvê-los o mais cedo possível, aumento a adesão das equipas, o sucesso dos testes, que no final levarão a uma maior segurança da organização.

Dia 9

Ecossistema de Fornecedores: desafios na Segurança de Informação 1. Destacar a importância de gerir o risco de segurança, da cadeia de fornecimento durante o ciclo de vida do fornecedor
2. Boas práticas na definição dos controlos adequados e avaliação da efetividade dos controlos existentes
Importância de gerir o risco da cadeia de fornecimento.
Nos últimos anos aumentaram os ataques de supply chain, incluindo de Software[1] e ransomware[3]. Uma das fraquezas que estes ataques exploram é o “relacionamento de confiança” entre os fornecedores e os seus clientes, bem como entidades fornecedoras com vulnerabilidades conhecidas.
Em início de Julho de 2021 um ataque de ransomware a uma empresa nos EUA[2], deu origem a um “supply chain attack”, o qual afetou mais de 1500[3] empresas a nível mundial. Uma das entidades afetadas indiretamente, foi uma cadeia de supermercados na Suécia a qual foi obrigada a fechar 800 lojas físicas após o seus pontos de venda e check-outs deixarem de funcionar.
Em Março de 2022 um ataque de ransomware a um fornecedor de componentes da Toyota[4] no Japão obrigou a suspender as operações das linhas de produção, com impacto na produção de 10000 carros, o que representa cerca de 5% da produção mensal da Empresa no Japão.
Com os ataques de supply chain, os agentes atacantes incrementam a probabilidade de ataques bem sucedidos ao explorarem vulnerabilidades conhecidas, e, o impacto do ataque ao afetarem a totalidade da cadeia de valor da entidade atacada.
Gerir o risco durante o ciclo de vida do fornecedor.
A digitalização, as alterações na cadeia de fornecimento derivadas da pandemia e o novo contexto geo-político desde fevereiro último, incrementaram o risco de comprometimento na cadeia de fornecimento.
É relevante realizar o governo de segurança da supply chain através da aplicação duma framework focada no risco de segurança e baseada nas melhores práticas, por forma a assegurar: 1. a identificação dos fornecedores, 2. a sua classificação, 3. os controlos aplicáveis aos ativos que o fornecedor trata/processa, 4. Concretizar o acompanhamento e monitorização, bem como a melhoria contínua do processo.
Avaliar o risco e definir os controlos adequados.
A definição dos controlos aplicáveis e adequados a um fornecedor é dependente do contexto do produto/serviço fornecido, da classificação dos ativos aos quais acede, do tipo de processamento que realiza, entre outros.
Com base nesta informação é estabelecido o contexto do risco e concretizada a avaliação, bem como na sua sequência, definidas as medidas técnicas e organizativas a aplicar, as quais devem ser contratualizadas. Deve ser realizada a revisão das medidas sempre que o contexto do risco se altera e com a periodicidade adequada ao contexto em questão.
Avaliar a efetividade dos controlos.
Com a regularidade definida na Framework monitorizar os indicadores de segurança associados aos controlos aplicados, concretizar assessments e auditorias aos fornecedores por forma a verificar a efetividade e atingimento de objetivos.
Vazamento de dados – Casos Reais Atualmente diversas empresas sofrem vazamentos de dados, sejam através de ações intencionais ou não, pelos seus próprios colaboradores, fornecedores, assim como pelos cibercriminosos.
As formas como os vazamentos de dados acontecem evoluiu muito, não limitando apenas aos ambientes na deep e dark web, e muitas das organizações não tem atualizado as suas estratégias com relação a esse tema.
Nesta palestra irei falar um pouco sobre diversos casos reais que identificamos e analisamos diariamente em Portugal e no mundo, e que servem como exemplo para que as empresas percebam os riscos associados a cada uma dessas ações.
O uso do ciberespaço pelos terroristas: a ameaça do ciberterrorismo O ciberespaço tem sido utilizado por grupos terroristas de diferentes quadrantes ideológicos para atividades de propaganda e recrutamento, entre outras. A possibilidade de perpetração de ataques em larga escala através do ciberespaço (internet) é um tema debatido pelo menos desde a década de 1990. Em 1991, o National Research Council norte-americano alertava: “Tomorrow’s terrorist may be able to do more damage with a keyboard than with a bomb”. Desde 2015, grupos jihadistas, como o Daesh e afiliados, têm criado fóruns online para discutir o planeamento de ataques terroristas com substâncias NRBQ, designadamente nucleares, radiológicas, biológicas e químicas. Em 2019, as Nações Unidas alertaram para a possibilidade de utilização de drones como armas terroristas e, em 2020, a Agenda de Luta Contra o Terrorismo da UE alertou para os desenvolvimentos recentes na área digital, biotecnologia ou da inteligência artificial que podem oferecer incentivos para a criação de armas biológicas.
Esta comunicação analisa a relação entre o ciberespaço e o terrorismo, centrando-se na ameaça do ciberterrorismo. Sob uma abordagem académica e científica, apresentamos um panorama introdutório sobre este fenómeno, procurando explicar o conceito, a sua atratividade para os terroristas, os motivos pelos quais constitui uma ameaça à segurança estatal, bem como apresentar algumas medidas de prevenção e combate à utilização abusiva da internet para fins terroristas. Abordamos também o caso português de forma sintética. Esta comunicação aborda um tema pouco divulgado, visando salientar que o modus operandi dos grupos terroristas está em permanente atualização e que as novas tecnologias também podem constituir uma vantagem estratégica para os estados, nomeadamente na antecipação de riscos e ameaças. Considerando o tema dos C-Days de 2022, “Apostar na Prevenção” significa reforçar a articulação entre as áreas da cibersegurança e do contraterrorismo, apostando em uma abordagem securitária multilateral, baseada no cumprimento das regras do Direito Internacional.
Riscos e Ameaças no 5G – Prevenir para não remediar Dadas as suas características inovadoras, a tecnologia 5G vai potenciar o aparecimento de novos modelos de negócio e levar à existência de um novo ecossistema de comunicações constituído por redes privadas 5G em vários sectores de atividade incluindo aqueles onde operam entidades de serviços essenciais e de infraestruturas críticas.
Esta sessão estará focada no conjunto de riscos identificados para os processos criptográficos essenciais na proteção da informação dos dados que circulam no “plano do utilizador” definido na arquitetura base das redes 5G da European Network and Information Security Agency (ENISA). Em complemento serão também apresentados documentos com linhas orientadoras sobre a aplicação de controlos de segurança para a proteção destas redes.
C-DAYS 2022

Media Partner


https://www.c-days.cncs.gov.pt/wp-content/uploads/2022/04/Cascais_branco_255x73.png
https://www.c-days.cncs.gov.pt/wp-content/uploads/2019/04/UPORTO_negativo_fundotransparente_small.png
Aspect image
Aspect image
https://www.c-days.cncs.gov.pt/wp-content/uploads/2022/05/Alto-Patrocinio-PR-PT-EN03.png
C-DAYS 2022

Parceiros


Aspect image
Aspect image
Aspect image
Aspect image
Aspect image
Aspect image
Aspect image
Aspect image
Aspect image
Aspect image
Aspect image
Aspect image
Aspect image
Aspect image
Aspect image